Discussion :

[Patrick Ruiz]

Saviez-vous que MINIX serait le système d’exploitation le plus populaire sur l’architecture Intel ?
Quel impact sur la sécurité ?

Les férus d’informatique connaissent tous l’histoire de Linux. Linus Torvalds son créateur s’est inspiré de MINIX, un clone d’UNIX basé sur un micro kernel créé par le professeur Andrew Tanenbaum. Depuis, Linux a fait du chemin tandis que MINIX a, pour sa part, été relégué au cours d’histoire. C’est du moins ce que l’on pensait, mais c’était sans compter avec de récents développements.

Tout commence avec des publications de l’Electronic Frontier Foundation (EFF) parues au mois de mai. D’après lesdits contenus, en plus du processeur sur les cartes mères Intel, le pont sud (PCH) contient un microcontrôleur : le moteur d’administration Intel. Les publications ont été exhaustives sur divers aspects liés au fonctionnement de ce dernier, mais rien n’a filtré jusque là sur son système d’exploitation.

D’après une publication d’International Data Group (IDG), un média spécialisé en technologie, le moteur d’administration Intel fait tourner MINIX. Information difficile à confirmer via des sources alternatives quand on sait le mystère qui entoure ce « processeur dans le processeur. » Elle a néanmoins le mérite de pouvoir faire tomber plus d’un quant à la question de savoir lequel des systèmes d’exploitation actuels (Linux, Windows, etc.) est le plus populaire. Si l’information d’IDG s’avère exacte alors MINIX est de facto le système d’exploitation le plus populaire, référence faite à l’hégémonie d’Intel sur le marché des PC.

Dans des développements datant du 24 avril 2017, la firme de sécurité Positive Technologies décrit le moteur d’administration Intel comme un processeur capable d’accéder à toutes les régions de la mémoire vive (chose impossible au système d’exploitation de l’utilisateur). Ce détail est complété par celui d’IDG qui souligne que MINIX tourne sur le moteur d’administration Intel avec le niveau de privilège le plus élevé. D’après une publication de Google à ce sujet, ce niveau de privilège ouvre l’accès à un serveur Web (en plus d’autres fonctionnalités à problème) sur le moteur d’administration Intel.

Le moteur d’administration Intel et son système d’exploitation ne sont pas accessibles par le possesseur de l’ordinateur. À qui Intel a-t-il donc réservé l’exclusivité de la manipulation de ces fonctionnalités ? D’après une publication parue sur cette plateforme au mois d’août, aux agences gouvernementales américaines.

Google a annoncé son intention de désactiver le moteur d’administration Intel sur ses serveurs pour des raisons évidentes de sécurité. Le lecteur intéressé peut se pencher sur le billet de blog de la firme de sécurité Positive Technologies pour voir comment y arriver.

Sources

International Data Group

Positive Technologies

Votre avis

Que pensez-vous de tous ces développements ?

Voir aussi

Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puces

[captaindidou]

Big Brother is watching you.

Tanenbaum doit être "content" de l'apprendre.

Mais où se dirige-t'on ?

[mattdef]

J'ai bien fait de passer chez AMD, pour cette raison en plus de bien d'autres !

[AndMax]

Les avertissements sur les failwares ou spywares de chez Intel n'avaient pas beaucoup été écoutés autrefois:
https://www.fsf.org/blogs/community/...ent-technology

[Qu3tzalify]

@mattdef : apparemment c'est plus ou moins pareil chez AMD avec leur PSP qui remplit le même rôle que le ME d'Intel...

[pgoetz]

On commence en 2012:
https://software.intel.com/en-us/blo...tel-amt-web-ui
et pour finir en 2017
https://software.intel.com/en-us/art...technology-amt

Bon si quelqu'un a le courrage d'approndir pour faire un How-To...

[abriotde]

Si Google désactive ce Minix ils vont bien devoir le remplacer. Par coreboot (https://blogs.coreboot.org/)? Je sais que "Coreboot"désactive un certains nombre de hardware Intel et a l'ambition à terme de tout remplacer mais je ne suis pas certains qu'ils remplace ce Minix.

[Michael Guilloux]

Intel aurait-il utilisé Minix 3 s'il était sous GPL ?
Le créateur de Minix se dit déçu de ne pas avoir été informé de l'utilisation de son OS

Nous venons tous l’apprendre, Windows n’est pas le champion des OS de bureau, mais c’est plutôt Minix, un clone d'Unix, fondé sur un micronoyau et créé par le professeur Andrew Tanenbaum à des fins pédagogiques. Notons que c’est le même OS qui a inspiré Linus Torvalds lorsqu'il a décidé de créer un système d'exploitation qu’on appelle aujourd’hui le noyau Linux.

Comme nous l’avons récemment rapporté, les puces d’Intel embarquent une version modifiée de Minix 3 exécutée par le fameux moteur d’administration de la société. Et personne ne le savait en dehors de la firme, même pas le créateur de Minix !

Dans un billet de blog, Andrew Tanenbaum exprime donc sa déception quant à l’attitude qu’a eue le fondeur à son égard. « Merci d'avoir installé une version de MINIX 3 dans la puce du moteur d'administration ME-11 utilisée sur presque tous les ordinateurs de bureau et portables du monde », a-t-il écrit dans sa lettre ouverte adressée au PDG d’Intel, Brian Krzanich. « Je suppose que cela fait de MINIX le système d'exploitation le plus largement utilisé dans le monde, même plus que Windows, Linux ou MacOS. Et je ne le savais même pas avant d'avoir lu un article de presse à ce sujet », dit-il.

Retournant quelques années en arrière, Andrew Tanenbaum raconte qu’il se doutait qu’Intel avait un intérêt pour MINIX 3. Des ingénieurs de l’entreprise l’ont en effet contacté au sujet d'un « projet interne secret » et lui ont posé un grand nombre de questions techniques sur MINIX 3 ; des questions auxquelles il dit qu’il était heureux de répondre. Ensuite, les ingénieurs d’Intel ont commencé à lui demander d'apporter plusieurs modifications à MINIX 3, « par exemple, réduire la taille de la mémoire et ajouter des ifdefs dans certaines parties du code, afin qu'elles puissent être désactivées statiquement en définissant des drapeaux dans le fichier de configuration principal », dit-il. Pour information, un ifdef est une directive de compilation conditionnelle pour le préprocesseur qui permet de sélectionner certains bouts de code lorsque certaines conditions sont remplies.

D’après le créateur de Minix, ces modifications ont permis de réduire encore plus l'empreinte mémoire en désactivant de manière sélective un certain nombre de fonctionnalités qui ne sont pas toujours nécessaires, telles que le support de virgule flottante. Cela a également rendu le système encore plus modulaire, bien qu’il l’était déjà.

« Un autre indice [montrant qu’Intel était intéressé par l’OS] était la discussion sur la licence », poursuit-il. « J'ai (implicitement) compris que le fait que MINIX 3 utilise la licence Berkeley était très important. J'ai déjà été confronté à cette situation lorsque des entreprises m'ont dit qu'elles détestaient la GPL parce qu'elles ne voulaient pas dépenser beaucoup de temps, d'énergie et d'argent pour modifier un bout de code, et être ensuite obligées de le donner à leurs concurrents gratuitement. Ces discussions ont été la raison pour laquelle nous avons mis MINIX 3 sous licence Berkeley en 2000. »

Andrew Tanenbaum explique ensuite qu’il n’a plus eu de nouvelles des ingénieurs d’Intel après la période intense d’activités et de discussions avec ces derniers. « Il y a eu un silence radio pendant quelques années, jusqu'à ce que je lise dans les médias qu'une version modifiée de MINIX 3 fonctionnait sur la plupart des ordinateurs x86, au cœur de l'une des puces Intel », dit-il. « C’était une surprise totale. Cela ne me dérange pas, bien sûr, et je ne m'attendais à aucun type de paiement étant donné que ce n'était pas une exigence. Il n'y a même rien dans la licence qui suggère que cela serait apprécié. La seule chose qui aurait été sympa, c'est qu'une fois le projet terminé et la puce déployée, quelqu'un d'Intel me dise, par politesse, que MINIX 3 était probablement le système d'exploitation le plus répandu au monde. Sur les ordinateurs x86. Cela n'était certainement pas nécessaire, mais je pense qu'il aurait été poli de me dire un merci, juste cela. »

Une chose est sure, c’est que Intel n’a en aucun cas violé la licence de Minix ; ce que reconnait Andrew Tanenbaum. « Cette nouvelle réaffirme mon opinion selon laquelle la licence Berkeley offre le maximum de liberté aux utilisateurs potentiels. S'ils veulent faire connaître ce qu'ils ont fait, c'est bien… S'il y a de bonnes raisons de ne pas publier le code modifié, ça me convient aussi. »

Qu’en serait-il alors si Minix était sous une autre licence ? Intel l’aurait-il utilisé s'il était sous licence GPL ? « Peut-être que oui, peut-être non... », estime Andrew Tanenbaum. Mais comme l'explique également le créateur de Minix, certaines personnes ont indiqué en ligne que si son OS avait une licence GPL, Intel ne l'aurait peut-être pas utilisé, sinon ils auraient dû publier les modifications du code.

Concernant le moteur d’administration d’Intel, comme beaucoup de gens, Andrew Tanenbaum dit ne pas du tout aimer cette idée, car la considérant comme « un trou de sécurité potentiel et une idée dangereuse en premier lieu ». Mais, il estime que c’est la décision commerciale d'Intel et une question distincte de celle relative au code qu'il exécute.

Source : Lettre ouverte d’Andrew Tanenbaum

Et vous ?

Qu’en pensez-vous ?
Intel aurait-il utilisé Minix 3 s'il était sous GPL ?
Que pensez-vous des licences open source en général ?

[RyzenOC]

c'est pas "peut être" c'est évident que Oui Intel n'aurais pas utilisé mimix si il avait une License comme GPL.

Dans mon boulot je fais pareil, tous ce qui est GPL c'est poubelle (ce qui ne veut pas dire que je/l'on pioche dans les projets open source comme des truands sans jamais y contribuer). Il des modifs que j'aime partagé (correction de bug, certaines améliorations en terme de perf ou de fonctionnalité...).

Cela dit ma license préféré reste la licence MIT on l'on est obligé de mentionner le nom des auteurs, cela permet une honnêteté intellectuelle. Mais cette license n'est pas restrictive en dehors de cette "contrainte" (qui est plus du savoir vivre qu'une contrainte).

[MaximeCh]

Dans mon boulot je fais pareil, tous ce qui est GPL c'est poubelle (ce qui ne veut pas dire que je/l'on pioche dans les projets open source comme des truands sans jamais y contribuer). Il des modifs que j'aime partagé (correction de bug, certaines améliorations en terme de perf ou de fonctionnalité...).

Tu devrais aller faire un tour du côté de la philosophie GNU de temps en temps, ça fait pas de mal.
Je fais pas dans l'adulation des barbus, mais il y a certaines valeurs fondamentales qui, je trouve, font bon de garder à l'esprit.

[MikeRowSoft]

Ce qui rentre n'est pas forcément ce qui sort...

Les licences Open Sources sont utiles. J'ai du mal à croire que même le concerné n'en utilise pas plusieurs pour la distribution de "projets" (codes sources)...

[Firwen]

c'est pas "peut être" c'est évident que Oui Intel n'aurais pas utilisé mimix si il avait une License comme GPL.

Intel utilise Linux et GCC tous les jours et ils sont tous les deux sous Licence GPL. De rien.

Dans mon boulot je fais pareil, tous ce qui est GPL c'est poubelle

Comme quoi, les radicaux / fondamentaux sont pas forcément ceux qu'on croit.

Cela dit ma license préféré reste la licence MIT on l'on est obligé de mentionner le nom des auteurs

C'est la BSDv1 ça, pas la MIT.
De rien, encore une fois.

[Namica]

On commence en 2012:
https://software.intel.com/en-us/blo...tel-amt-web-ui
et pour finir en 2017
https://software.intel.com/en-us/art...technology-amt

Bon si quelqu'un a le courrage d'approndir pour faire un How-To...

Intel fournit un outil de détection et de mitigation https://downloadcenter.intel.com/download/26755. Mais divers auteurs ne semblent pas lui accorder pleine confiance.

Il n'y a pas de solution facile : http://blog.ptsecurity.com/2017/08/d...-intel-me.html
La vulnérabilité est critique https://nvd.nist.gov/vuln/detail/CVE...scriptionTitle
et facilement exploitable : https://embedi.com/files/white-paper...-is-Silent.pdf

... First of all, you should remember that Intel AMT provides the ability to remotely control the computer
system even if it’s powered off (but connected to the electricity mains and network)...

[lulu7]

C'est la BSDv1 ça, pas la MIT.
De rien, encore une fois.

-1

https://fr.wikipedia.org/wiki/Licence_MIT
La licence donne à toute personne recevant le logiciel le droit illimité de l'utiliser, le copier, le modifier, le fusionner, le publier, le distribuer, le vendre et de changer sa licence. La seule obligation est de mettre le nom des auteurs avec la notice de copyright.

De rien.

[imikado]

Les licences opensource ont une réelle utilité
- elles protègent leur auteurs d'éventuelles attaques (décharge de responsabilité présente dans toutes)
- elles permettent de cadrer un remerciement par contribution (plus ou moins stricte)

Personnellement je ne suis pas pour les MIT / BSD, je trouve hypocrite d'avoir des "refermant de logiciels opensource"

Par exemple Apple qui inclut un net/freeBsd en son coeur
- profite gratuitement du développement opensource de beaucoup de contributeurs (ça c'est normal)
- ne partage pas les avancées/corrections de bugs (pas d'obligation)

C'est comme si votre voisin vous donne une recette de gâteau hérité de génération en génération: vous l'utilisez à plusieurs reprises, l'améliorer après usage mais n'informez pas celui-ci des modifications/corrections (proportions, temps de cuisson...) qui pourrait l'intéresser

[RyzenOC]

Les licences opensource ont une réelle utilité
- elles protègent leur auteurs d'éventuelles attaques (décharge de responsabilité présente dans toutes)
- elles permettent de cadrer un remerciement par contribution (plus ou moins stricte)

Personnellement je ne suis pas pour les MIT / BSD, je trouve hypocrite d'avoir des "refermant de logiciels opensource"

Par exemple Apple qui inclut un net/freeBsd en son coeur
- profite gratuitement du développement opensource de beaucoup de contributeurs (ça c'est normal)
- ne partage pas les avancées/corrections de bugs (pas d'obligation)

C'est comme si votre voisin vous donne une recette de gâteau hérité de génération en génération: vous l'utilisez à plusieurs reprises, l'améliorer après usage mais n'informez pas celui-ci des modifications/corrections (proportions, temps de cuisson...) qui pourrait l'intéresser

quand tu est salarié dans une entreprise tu ne peut pas donner le logiciel que tu développe pour ton entreprise a la communauté.
La gpl est communément appelé une licence contaminante.

imagine ta boite développe un énorme projet de 300000 lignes de code et tu souhaite y intégrer une nouvelle fonctionnalité mais pour cela au lieu de réinventer la roue tu souhaite utiliser une librairie sous licence gpl de 2000 lignes de code. Tu est donc obligé de partager les 300000 lignes de code du logiciel de ta boite juste pour utiliser la petite librairie.

C'est ce que je reproche à la licence GPL, d'ou le faite que j'évite cette licence comme la peste en entreprise.

intel utilise Linux et GCC tous les jours et ils sont tous les deux sous Licence GPL. De rien.

Oui et alors ? moi aussi j'ai déja utilisé des lib sous licence GPL dans certains de mes projets mais cela ne change pas le faite que dans la majorité des cas je l'évite comme je l'ai expliqué plu haut.

Comme quoi, les radicaux / fondamentaux sont pas forcément ceux qu'on croit.

A voir cette phrase on croirait une reproche ? oui je suis pas un extrémiste du libre et je suis fier de ne pas être un fanatique et d'avoir un esprit ouvert.

C'est la BSDv1 ça, pas la MIT.
De rien, encore une fois.

le MIT aussi mon amie.

J'y suis peut être aller un peu fort en disant GPL=Poubelle mais cette licence est très compliqué à utilisé en entreprise.

Par exemple Apple qui inclut un net/freeBsd en son coeur
- profite gratuitement du développement opensource de beaucoup de contributeurs (ça c'est normal)
- ne partage pas les avancées/corrections de bugs (pas d'obligation)

Oui mais au moins Apple utilise FreeBSD. Le but de faire de l'open source c'est aussi que son projet soit utilisé.
Si free BSD était sous GPL pas sur que se serait si utilisé de cela dans le monde pro. Imagine Sony devoir donner le code source de l'os de la playstation (ils utilise freeBSD aussi il me semble), ils n'ont aucun intérêt à le faire.
Si linux n'était pas sous GPL Apple l'aurait peut être utilisé !

https://www.gnu.org/licenses/gpl-faq...bilityToPublic

Si je distribue un programme régi par la GPL contre redevance, suis-je obligé de le mettre aussi à disposition du public gratuitement ? (#DoesTheGPLRequireAvailabilityToPublic)
Non. Cependant, si quelqu'un vous paie une redevance pour obtenir une copie, la GPL lui donne la liberté de la mettre à disposition du public, avec ou sans redevance. Par exemple, quelqu'un pourrait payer ce que vous demandez, puis mettre sa copie sur un site web destiné au grand public.

Expliquer moi comment vous compter vendre un logiciel avec une tels contrainte !

[Firwen]

-1

https://fr.wikipedia.org/wiki/Licence_MIT
La licence donne à toute personne recevant le logiciel le droit illimité de l'utiliser, le copier, le modifier, le fusionner, le publier, le distribuer, le vendre et de changer sa licence. La seule obligation est de mettre le nom des auteurs avec la notice de copyright.

De rien.

Et le texte de la licence original en anglais dit exactement l'opposé. C'est bien de savoir utiliser Wikipédia, mais c'est mieux de vérifier sources. On enseigne souvent ça à l'école.

La seule obligation de la MIT est la distribution de la notice. Mais ça ça n'a rien d'exceptionnel, toute notice de Licence DOIT toujours être redistribuée pour être valide.

Rien à voir avec " mentionner le nom des auteurs " comme dit initialement qui, encore une fois, est la propriété de la BSDv1. Je cite

3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by the <organization>.


De rien.

[Invité]

Les licences opensource ont une réelle utilité
- elles protègent leur auteurs d'éventuelles attaques (décharge de responsabilité présente dans toutes)
- elles permettent de cadrer un remerciement par contribution (plus ou moins stricte)

Personnellement je ne suis pas pour les MIT / BSD, je trouve hypocrite d'avoir des "refermant de logiciels opensource"

Par exemple Apple qui inclut un net/freeBsd en son coeur
- profite gratuitement du développement opensource de beaucoup de contributeurs (ça c'est normal)
- ne partage pas les avancées/corrections de bugs (pas d'obligation)

C'est comme si votre voisin vous donne une recette de gâteau hérité de génération en génération: vous l'utilisez à plusieurs reprises, l'améliorer après usage mais n'informez pas celui-ci des modifications/corrections (proportions, temps de cuisson...) qui pourrait l'intéresser

Mouais enfin la GPL t'oblige à rester libre. C'est quand même une interprétation assez particulière de la liberté. Avec les MIT/BSD, tu peux être "sympa" en rediffusant tes modifs ou être un "enfoiré" en les gardant pour toi, mais au moins tu es vraiment libre.

[Firwen]

imagine ta boite développe un énorme projet de 300000 lignes de code et tu souhaite y intégrer une nouvelle fonctionnalité mais pour cela au lieu de réinventer la roue tu souhaite utiliser une librairie sous licence gpl de 2000 lignes de code. Tu est donc obligé de partager les 300000 lignes de code du logiciel de ta boite juste pour utiliser la petite librairie.

Sinon c'est pour ça qu'on a inventé la LGPL, qui est faite pour les libraries tout en garantissant que les modifications de la librairie elle-même soit rendues publiques.

Si même la LGPL fait grincer les dents de ton avocat un peu trop paranoïaque, la MPL 2.0 est une trés bonne licence aussi.
Si la MPL 2.0 pose trop de problème pour ton avocat, change d'avocat, il est mauvais.


- La GPL c'est bien pour les tools, ou les gros projets entièrement Open Source ( MySQL, MongoDB, le Kernel, les coreutils, Qemu, )

- La LGPL c'est trés bien pour les libraries ( Qt, libgcc, libstdc++, fmpeg and everything else )

- Les licences non-copyleft permissive (BSD, MIT, X11, WTFPL) c'est bien pour les gens qui veulent tout embeddé dans leur soft propriétaire sans rien redistribué, c'est un choix. Le choix que MINIX à fait aussi.



Cordialement.

[RyzenOC]

Sinon c'est pour ça qu'on a inventé la LGPL, qui est faite pour les libraries tout en garantissant que les modifications de la librairie elle-même soit rendues publiques.

Si même la LGPL fait grincer les dents de ton avocats un peu trop paranoïaque, la MPL 2.0 est une trés bonne licence aussi.
Si la MPL 2.0 pose trop de problème pour ton avocat, change d'avocat, il est mauvais.


- La GPL c'est bien pour les tools, ou les gros projets entièrement Open Source ( MySQL, MongoDB, le Kernel, les coreutils )

- La LGPL c'est trés bien pour les libraries ( Qt, libgcc, libstdc++, fmpeg and everything else )

- Les licences non-copyleft permissive (BSD, MIT, X11, WTFPL) c'est bien pour les gens qui veulent tout embeddé dans leur soft propriétaire sans rien redistribué, c'est un choix. Le choix que MINIX à fait aussi.



Cordialement.

Oui il existe des licences moins restrictives que la GPL, mais le news parle de GPL. Si la news parlait de LGPL j'aurais pas écrit les mêmes commentaires.

Sinon c'est pour ça qu'on a inventé la LGPL

Quand du code est sous GPL je ne suis pas magicien, je ne peut pas le modifier en LGPL. Je ne voit pas en quoi l'invention de la LGPL règle les problèmes de la GPL.... si du code et sous GPL c'est GPL avec toutes les contraintes point.
Je peut te répondre "Sinon c'est pour ça qu'on a inventé la WTFPL" la WTFPL règle tous les problèmes juridique. J'ai déjà publié des trucs sous cette licence car ma philosophie c'est si je partage c'est pour en faire profiter les autres, ils peuvent en faire ce qu'ils veulent je m'en moque.